Il presente contributo contiene un’analisi della fattispecie delittuosa della Frode informatica, finalizzata a comprendere se tale delitto costituisca un’ipotesi di reato speciale rispetto al delitto di Truffa, ovvero se si tratti di un’autonoma figura di reato.
Analisi e considerazioni sul delitto di frode informatica quale autonoma figura di reato rispetto al delitto di truffa
SOMMARIO: Premessa; 1) L’oggetto della tutela; 2) Le condotte alternative: l’alterazione del funzionamento del programma informatico o telematico e l’intervento senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico; 3) Il sistema informatico o telematico: nozione e caratteristiche; 4) L’evento del reato; 5) L’elemento psicologico del reato; 6) Frode informatica e truffa: profili d’autonomia della fattispecie ex art. 640 ter c.p. ed elementi comuni; 7) I principi giurisprudenziali.
Premessa
Il delitto di Frode informatica, disciplinato dal libro II, titolo XIII, art. 640 ter c.p., è stato introdotto dalla legge n. 547 del 1993, assieme a una ventina (circa) di reati c.d. informatici. Al riguardo, si è ormai soliti parlare di ‘reati informatici’ (o computer crimes) per indicare quegli illeciti penali caratterizzati dall’utilizzo della tecnologia informatica (e, in particolare, dei sistemi informatici o telematici), quale oggetto materiale del reato ovvero quale mezzo per la sua commissione. Il presente contributo contiene un’analisi della fattispecie delittuosa della Frode informatica, finalizzata a comprendere se tale delitto costituisca un’ipotesi di reato speciale rispetto al delitto di Truffa, ovvero se si tratti di un’autonoma figura di reato.
1) L’oggetto della tutela
Per quanto concerne la fattispecie di cui all’art. 640 ter c.p., il primo aspetto da analizzare è quello relativo all’oggetto della tutela (o interesse tutelato). In sostanza ci si deve chiedere quale sia il bene giuridico che il legislatore, nel prevedere il delitto di frode informatica, ha reputato meritevole di tutela penale.
In generale, bisogna capire se le fattispecie concernenti i reati informatici tutelino un bene giuridico unitario, inteso come «intangibilità informatica», definita come «l’esigenza di non alterare la relazione triadica fra dato della realtà, rispettiva informazione, e soggetti legittimati ad elaborare quest’ultima nelle sue diverse fasi (creazione, trasferimento, ricezione)», o anche come «bene immateriale con carattere di diritto reale, ossia di inerenza del diritto al bene che ne rappresenta l’oggetto». Inoltre, si potrebbe sostenere che il bene giuridico unitario che ogni norma in materia di computer crimes tenderebbe a tutelare sia il diritto alla personalità, seppure i tempi sembrerebbero ancora precoci per potermaffermare che l’utilizzo delle tecnologie informatiche, scevro da qualsivoglia manipolazione turbativa, possa essere giuridicamente qualificato come diritto della personalità in relazione alla libertà informatica, e, dunque, come un diritto degno di tutela giuridica penale. V’è poi chi sostiene che internet «segna la nascita di una nuova situazione giuridica soggettiva o, più precisamente, del suo aspetto attivo: il ‘diritto attivo di libertà informatica’, cioè l’interazione uomo-macchina che consente di inviare e ricevere informazioni, che si aggiunge, completandolo, al diritto passivo di libertà informatica, che coincide con la protezione della riservatezza dei dati personali, che potrebbe essere lesa dalle potenzialità diffusive della Rete».
A ben vedere, però, il bene giuridico della libertà informatica è già penalmente tutelato dal diritto alla riservatezza, intesa come libertà di esercitare un diritto di controllo su dati e informazioni contenuti in programmi o sistemi informatici o telematici, attinenti alla propria persona, nel caso in cui questi fuoriescano dalla sfera della riservatezza.
Nello specifico, per ciò che attiene l’oggetto della tutela della fattispecie di Frode informatica, si osserva che la stessa rubrica dell’art. 640 ter, , nel fare un riferimento esplicito alla frode, evidenzia un collegamento con la fattispecie della truffa (che, come noto, costituisce il paradigma dei reati commessi mediante frode), il cui oggetto di tutela è, indubbiamente, il patrimonio. Ebbene, considerato che, come si avrà modo di chiarire meglio nei paragrafi successivi, vi è comunanza di eventi tra le fattispecie delittuose di truffa e di frode informatica, e che la struttura dei due reati, ancorchè autonoma, è similare, ciò suggerisce che il patrimonio è l’interesse tutelato in entrambe le fattispecie previste dagli artt. 640 c.p. e 640 ter c.p.. E d’altronde, anche la collocazione sistematica del delitto di frode informatica nel titolo XIII del libro II del c.p., rubricato “Dei delitti contro il patrimonio” sembra portare alla medesima conclusione.
Degno di nota è, inoltre, l’orientamento in base al quale la fattispecie di cui all’art. 640 ter c.p. è posta a tutela di beni giuridici ulteriori rispetto al patrimonio, quali, in particolare, l’interesse alla riservatezza nel legittimo utilizzo dei sistemi informatici e telematici nonché l’interesse al regolare funzionamento del sistema (informatico o telematico).
2) Le condotte alternative: l’alterazione del funzionamento del programma informatico o telematico e l’intervento senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico
La fattispecie della Frode informatica prevede due condotte alternative. La prima, di alterazione “in qualsiasi modo- del- (omissis) funzionamento di un sistema informatico o telematico (omissis)»; mentre la seconda è una condotta di intervento “senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti (omissis)».
La condotta di alterazione investe la modalità di funzionamento del sistema informatico o telematico (come, ad esempio accadrebbe con un’alterazione della modalità di log-in e log-out del sistema da un determinato sito internet, di tal che, ove il computer rimanesse collegato alla rete e al sito nonostante la convinzione dell’utilizzatore di aver effettuato il log-out, ciò comporterebbe un ingiusto guadagno per il gestore del sito e, specularmente, il danno economico in capo all’utente). In particolare, sul punto, va precisato che «l’intervento manipolativo può essere tale da modificare gli scopi cui il sistema informatico è destinato, ma il reato ricorre anche quando- pur nel rispetto della destinazione del sistema- vengano manipolati i contenuti dello stesso ( omissis)». Diversamente, la condotta alternativa di ‘intervento abusivo’ è rivolta ai dati, alle informazioni (cioè, per semplificare, ad un insieme di dati) o ai programmi (software) installati nell’hardware. In particolare, va rilevato che l’intervento, per configurare la condotta descritta dalla fattispecie ex art. 640 ter c.p., deve avvenire “senza diritto” e, dunque, non solo in assenza del necessario consenso del titolare dei dati, informazioni e programmi contenuti nel sistema informatico, ma anche secondo una modalità «non consentita da norme giuridiche, né da altre fonti, (omissis))».
Inoltre, come si è visto, il legislatore ha previsto due fattispecie alternative, entrambe a condotta libera. Ciò si desume dalle espressioni «in qualsiasi modo» e «con qualsiasi modalità» e significa che, per il perfezionamento della fattispecie di cui all’art. 640 ter, non è richiesta alcuna specifica modalità di condotta.
Dalla lettura della rubrica dell’art. 640 ter c.p., sorge il dubbio se il termine “frode” sottintenda il fatto che, anche nella fattispecie criminosa ivi delineata, si richiede, sulla falsa riga della fattispecie di Truffa, l’induzione in errore di un soggetto attraverso artifici o raggiri. L’evidenza letterale dell’art. 640 ter c.p., tuttavia, smentisce categoricamente tale ipotesi, posto che nel testo della norma che disciplina il delitto di frode informatica non è presente alcun riferimento all’induzione in errore di taluno. E, infatti, è ragionevole ritenere che il legislatore, ben conscio della materiale impossibilità di trarre in inganno una macchina (che come tale è sprovvista della coscienza e dell’intelligenza propria dell’essere umano) non abbia inteso spingersi a delineare la fattispecie di frode informatica prevedendo la cooperazione artificiosa (del soggetto tratto in inganno). Ne consegue, allora, che, nonostante il tenore letterale della rubrica dell’articolo 640 ter c.p., gli eventi del delitto di frode informatica si realizzano, in assenza del passaggio intermedio (che invece è previsto nel delitto di Truffa) dell’induzione in errore di un soggetto mediante artifizi o raggiri, semplicemente in conseguenza di una delle condotte alternative (alterazione o intervento abusivo) descritte dalla norma dell’art. 640 ter c.p..
Per completezza, va osservato che in dottrina ci si è chiesti se le condotte descritte dall’art. 640 ter c.p. possano essere commesse nella forma omissiva o meno. La risposta a tale quesito sembrerebbe essere positiva, ma solo ove, nel caso specifico, vi sia l’obbligo giuridico d’impedire l’evento in capo al soggetto agente (c.d. posizione di garanzia).
3) Il sistema informatico o telematico: nozione e caratteristiche
Dalla lettura della fattispecie di frode informatica, si evince che, oggetto della condotta di reato sono, oltre ai dati, le informazioni e i programmi (c.d. software) anche i sistemi informatici o telematici. Pertanto, per inquadrare esattamente la portata applicativa dell’art. 640 ter c.p., è necessario individuare in maniera esatta la nozione e le caratteristiche del sistema informatico, da un lato, e di quello telematico, dall’altro, alla luce dell’interpretazione che nel tempo ne è stata fornita dalla giurisprudenza.
Con riferimento alla nozione di sistema informatico, un importante contributo è stato offerto da una sentenza piuttosto risalente della Corte di Cassazione, in base alla quale viene considerata di natura informatica, per usare le parole della Corte, qualsiasi macchina «destinata a svolgere qualsiasi funzione utile all’uomo attraverso l’utilizzazione, anche solo parziale, di tecnologie informatiche». E’ stato osservato, altresì, che il sistema informatico, per essere definito tale, debba presentare tre caratteristiche essenziali:
«a) la registrazione o memorizzazione, «per mezzo di impulsi elettronici e su supporti adeguati, di dati rappresentati attraverso simboli (bit) numerici (codice) in combinazioni diverse»;
b) «l’elaborazione automatica» da parte della macchina dei dati così registrati o memorizzati;
c) l’organizzazione di tali dati «secondo una logica che consenta loro di esprimere un particolare significato per l’utente» (utilità)».
Una volta compreso il concetto di sistema informatico, si può ricavare in maniera molto più agevole la nozione di sistema telematico. Semplificando, si può affermare che è telematico un sistema formato da un insieme di sistemi informatici connessi tra loro attraverso una rete elettrica ovvero mediante un sistema di trasmissione via etere al fine di trasmettere e ricevere informazioni (l’esempio classico è quello di Internet, ma rientrano nel concetto anche le c.d. intranet in uso, ad esempio, nella maggior parte delle realtà aziendali).
In particolare, è interessante l’osservazione di uno studioso che, con riferimento all’elemento discriminante, ai fini del’individuazione del sistema telematico, ha osservato che «l’elemento che consente di ravvisare un sistema «telematico» in luogo di un mero dispositivo di trasmissione a distanza di segnali (come il telefono o il fax) è dato proprio dal fatto che ad essere collegati tra loro sono due (o più) sistemi «informatici» : tipico è il caso dei sistemi di posta elettronica o di connessioni tramite terminali remoti (per esempio il bancomat)».
4) L’evento del reato
Una volta chiarito il comportamento tipico della frode informatica, bisogna analizzare gli eventi in senso naturalistico, eziologicamente connessi alla condotta, previsti dalla norma dell’art. 640 ter c.p.
Nel delitto di Truffa, ricorrono almeno tre differenti eventi: l’atto di disposizione patrimoniale da parte del soggetto frodato, che non necessariamente coincide col soggetto passivo del reato (si pensi, ad esempio, al cassiere di una banca che, tratto in inganno sull’identità del correntista, effettua operazioni non autorizzate dal titolare del conto); la realizzazione di un ingiusto profitto da parte del reo; e, infine, l’altrui danno speculare e conseguente alla realizzazione dell’ingiusto profitto. In aggiunta a detti eventi, secondo una dottrina minoritaria ve ne sarebbe uno ulteriore, costituito dall’induzione in errore di un soggetto (che solitamente è colui che compie l’atto di disposizione patrimoniale).
Nella fattispecie delineata dall’art. 640 ter c.p., di detti eventi, sono presenti solamente quello dell’ingiusto profitto e dell’altrui danno (patrimoniale).
Come già premesso, infatti, nell’art. 640 ter c.p. non vi è alcun riferimento all’induzione in errore di taluno mediante ‘artifici o raggiri’ né al compimento di un atto di disposizione patrimoniale (da parte del soggetto passivo o di un terzo). Ciò merita un approfondimento, seppur breve, al fine di comprenderne appieno l’elemento discriminante tra i delitti di truffa e di Frode informatica. Come accennato sopra, ciò che distingue nettamente i due delitti è la presenza di un soggetto indotto in errore, nel delitto di truffa, che invece non è richiesta dall’art. 640 ter. Infatti, se nel delitto di truffa è necessario che taluno, (dunque una persona fisica) venga indotto in errore, mediante artifici o raggiri, in maniera tale da ottenere, proprio grazie a ciò, la sua cooperazione artificiosa (il compimento di un atto di disposizione patrimoniale) finalizzata all’ottenimento dell’ingiusto profitto, tale dinamica non ricorre nella fattispecie ex art. 640 ter, c.p., nella quale la condotta è rivolta direttamente al sistema informatico o telematico. Ciò premesso, si può procedere ad analizzare brevemente i due eventi del delitto di Frode informatica, costituiti dalla realizzazione dell’“ingiusto profitto” con “altrui danno”.
Con riferimento alla nozione di ingiusto profitto, è evidente che, ai fini dell’applicazione dell’art. 640 ter, si richiede che il profitto sia connaturato da un ingiusta modalità di ottenimento, dovendosi in tal senso intendere che il soggetto agente si sia mosso in un ambito di illiceità e che, dunque, abbia agito in posizione di contrarietà rispetto all’ordinamento giuridico. Va aggiunto, altresì, che l’ingiusto profitto può riferirsi tanto all’autore di taluna delle condotte previste dall’art. 640 ter c.p. tanto a un soggetto diverso da quest’ultimo. Infatti, La norma dell’art. 640 ter, nel riferirsi a un ingiusto profitto procurato ‘a sé o ad altri’, ammette espressamente la rilevanza penale dell’ipotesi in cui il conseguimento del profitto sia riferibile a soggetti terzi rispetto al reo .
Sulla natura del profitto, in base a un autorevole orientamento giurisprudenziale, il profitto conseguito mediante la commissione del delitto di Truffa (e dunque anche di quello di Frode informatica), non necessariamente deve avere natura economica, ben potendo rilevare, in tal senso, un vantaggio di tipo affettivo o morale.
Entrambe le norme poste dagli artt. 640 c.p. e 640 ter c.p. richiedono, come diretta conseguenza della realizzazione del profitto ingiusto, la realizzazione di un altro evento: la causazione di un danno altrui. L’evento dannoso viene tradizionalmente scomposto, in base al prevalente orientamento della dottrina, tanto nel danno emergente quanto nel lucro cessante. Sulla scorta di tale orientamento, e della sua evoluzione, ad oggi, la nozione di danno patrimoniale non è necessariamente rappresentata dalla differenza negativa, per il soggetto passivo, tra il valore del bene da questi corrisposto e quello minore del bene acquisito, ben potendo configurarsi un’ipotesi di danno anche quando il soggetto passivo abbia conseguito qualcosa di diverso da ciò che si aspettava in forza degli accordi intercorsi all’esito della transazione economica. Inoltre, si consideri che parte della dottrina, relativamente al concetto di danno nel delitto di Truffa, vi ha fatto rientrare, talvolta, anche «situazioni a questo precedenti (o al massimo prodromiche)» alla causazione dell’evento (danno altrui) penalmente rilevante. Tuttavia, per quanto suggestiva, tale tesi non può essere condivisa, pena l’automatica trasformazione del delitto di Truffa (ma anche del delitto di Frode informatica in quanto presenta la medesima struttura del delitto di Truffa)) da reato d’evento a reato di pericolo. A conferma di tale ragionamento, si osserva, inoltre, che eventuali situazioni prodromiche alla produzione del danno altrui, in riferimento ai delitti di Truffa e di Frode informatica, avrebbero un’autonoma rilevanza penale ai sensi del combinato disposto degli artt. 56 c.p. (delitto tentato) e dell’art. 640 c.p. ( o dell’art. 640 ter c.p., con riferimento alla Frode informatica).
5) L’elemento psicologico del reato
L’art. 42, comma 2 c.p. stabilisce che «Nessuno può essere punito per un fatto preveduto dalla legge come delitto, se non l’ha commesso con dolo, salvi i casi di delitto preterintenzionale o colposo espressamente preveduti dalla legge». In altre parole, con tale disposizione il legislatore ha previsto la regola generale in base alla quale il dolo è l’elemento psicologico dei delitti, laddove la colpa e la preterintenzione costituiscono l’eccezione. Dunque, in riferimento ai delitti, colpa e preterintenzione possono integrare l’elemento psicologico del reato solo ove la norma incriminatrice lo preveda espressamente. Ciò premesso in generale, con riferimento all’elemento soggettivo del reato, l’art. 640 ter c.p. prevede una fattispecie delittuosa dolosa in capo al reo, dovendosi escludere la rilevanza della colpa e della preterintenzione per l’assenza di un’espressa previsione in tal senso nel testo della norma.
Orbene, per quanto concerne il grado della volontà criminosa, la fattispecie prevista dall’art. 640 ter c.p. è compatibile, per la natura stessa del reato, tanto con il dolo di proposito tanto e a maggior ragione con la premeditazione. Va, invece, esclusa la compatibilità del delitto di Frode informatica con il dolo d’impeto, sia per la natura del reato (e, infatti, la commissione di un delitto come la frode informatica, solitamente richiede del tempo per l’ideazione e per la predisposizione dei mezzi prodromici al compimento del reato), sia in quanto tale manifestazione del dolo attiene tipicamente ai reati contro la persona. Se invece considera il dolo sulla base del grado di rappresentazione dell’evento, la dottrina ritiene pacificamente che sia il dolo intenzionale che quello diretto possano integrare l’elemento soggettivo del delitto in parola. Lo stesso può dirsi in riferimento al dolo indiretto (in cui il soggetto si rappresenta come altamente probabile, se non addirittura certo, l’esito della propria condotta). Sulla compatibilità del delitto di Frode informatica con il dolo eventuale (che costituisce, per coloro che operano questa ulteriore distinzione, una forma molto lieve di dolo indiretto, caratterizzata dal fatto che il soggetto, rappresentandosi l’evento del reato come probabile, o addirittura come meramente possibile, non lo vuole ma ne accetta il rischio di verificazione), si osserva che proprio lo specifico contesto (quello informatico-virtuale) in cui viene posta in essere la condotta criminosa suggerisce la conclusione opposta. E, infatti, se, ad esempio, si pensa alla condotta di alterazione del sistema informatico e alle scarse possibilità di insuccesso che essa presenta, non si vede come il reo possa rappresentarsi l’esito di tale condotta come solo probabile o, addirittura, meramente possibile, finendo per sostituire alla propria volontà criminosa, la mera accettazione del rischio-reato.
Infine, va esclusa la compatibilità della fattispecie della Frode informatica con il dolo specifico, atteso che la norma dell’art. 640 ter c.p., nell’omettere qualsiasi riferimento espresso al fine specifico cui è rivolta la condotta criminosa, richiede solamente la sussistenza del dolo generico.
6) Frode informatica e truffa: profili d’autonomia della fattispecie ex art. 640 ter c.p ed elementi comuni
Nel corso di questa trattazione, si è più di una volta fatto riferimento al delitto di Truffa in relazione a quello di Frode informatica. Ecco perché si propone un’analisi comparativa delle due norme volta ad evidenziare gli elementi differenziali così come quelli comuni tra le fattispecie descritte rispettivamente dagli artt. 640 e 640 ter c.p.. Si cercherà, in tal modo, di comprendere se il delitto di Frode informatica costituisce una fattispecie speciale rispetto a quella di Truffa ovvero se, effettivamente, va considerata come un’autonoma ipotesi di reato. E proprio in riferimento a tale aspetto, bisogna interrogarsi circa l’esistenza di un rapporto da species a genus della fattispecie di Frode informatica rispetto a quella di Truffa. La dottrina è divisa sul punto. Infatti, secondo un certo orientamento, il delitto previsto dall’art. 640 ter c.p. costituirebbe un’ipotesi di reato speciale rispetto a quella generale di Truffa. Tuttavia, tale assunto non è condivisibile dal momento che la fattispecie dell’art. 640 ter c.p., rispetto al delitto di Truffa, presenta elementi d’autonomia tali da rendere strutturalmente impossibile l’esistenza di un rapporto di specialità tra le due fattispecie delittuose. In particolare, rispetto alla fattispecie che disciplina la Truffa, nell’art. 640 ter non vi è alcun riferimento a una condotta vincolata, posta in essere, cioè, mediante artifici o raggiri tesi a indurre in errore il soggetto passivo (o altro soggetto terzo) e a fargli compiere un atto di disposizione patrimoniale che altrimenti non porrebbe in essere. E infatti, giova ribadirlo, nella fattispecie di Frode informatica il reo, lungi dall’indurre taluno in errore, nel porre in essere una condotta libera ( di alterazione del funzionamento del sistema informatico o telematico ovvero di intervento abusivo su dati, informazioni o programmi in esso contenuti), rivolge la propria condotta fraudolenta direttamente sul sistema informatico o telematico. E, dunque, da tale condotta derivano direttamente gli eventi dell’ingiusto profitto e dell’altrui danno.
Ciò premesso, è evidente che le fattispecie di reato in commento, pur nella loro autonomia, presentano indubbi elementi in comune. Ci si riferisce in primo luogo agli eventi di ingiusto profitto e del danno altrui; ma anche alla disciplina delle circostanze aggravanti, posto che il secondo comma dell’art 640 ter c.p., opera un rinvio espresso alle circostanze previste dal n. 1) dell’art. 640 c.p..
7) I principi giurisprudenziali
Le considerazioni svolte sinora trovano conferma nelle diverse pronunce della Corte di Cassazione. Infatti, la Suprema Corte, circa la struttura del delitto di frode informatica, ha più volte affermato che «(omissis) la novella tracciata ex art. 640 ter c.p. (c.d. Frode informatica) (cfr. L. n. 547 del 1993) ha la medesima struttura e quindi i medesimi elementi costitutivi della truffa dalla quale si differenzia solamente perchè l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il ‘sistema informatico’ di pertinenza della medesima, attraverso la manipolazione di detto sistema». Inoltre, la I Sezione penale della Corte di Cassazione, con la recente sentenza n. 17748/11, non sembra avere dubbi sull’autonomia del delitto di Frode informatica rispetto a quello di Truffa. Infatti, nella parte motiva della sentenza sopra indicata, la Corte di Cassazione sostiene che, dato che i diversi valori tutelati dalla norma dell’art. 640 ter c.p. connotano una figura di reato del tutto peculiare, “E’ (omissis) indubbio (omissis) che la fattispecie di cui all’art. 640 ter integri senz’atro un’autonoma figura di reato, a differenza di quanto si è invece ritenuto in giurisprudenza a proposito della ipotesi di truffa aggravata per il conseguimento di erogazioni pubbliche, prevista dall’art. 640-bis cod. pen., ormai pacificamente ricondotta nel novero delle circostanze aggravanti rispetto al reato “base” di truffa ex art 640 cod. pen. (Cass., Sez. un., 26 giugno 2002, P.G. in Proc. Fedi)”. La stessa Corte di Cassazione, infine, già da tempo ammette il concorso formale tra i delitti di accesso abusivo a un sistema informatico e quello di frode informatica, dato che, per usare le parole della stessa Corte, “trattasi di reati totalmente diversi, il secondo dei quali postula necessariamente la manipolazione del sistema, elemento costitutivo non necessario per la consumazione del primo: la differenza fra le due ipotesi criminose si ricava, inoltre, dalla diversità dei beni giuridici tutelati, dall’elemento soggettivo e dalla previsione della possibilità di commettere il reato di accesso abusivo solo nei riguardi di sistemi protetti, caratteristica che non ricorre nel reato di frode informatica (omissis)».
avv. Stefano Logroscino (Cultore della materia di Diritto dell’informatica)